Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Console]

И это все при 900 грн в год абоплаты.... И клиентов под 500.000 тысяч...

А теперь 500.000 судебных дел...

[born2rule]

Есть вот такой экземпляр DLL на серверной платформе звита:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

При проверке ESET, cureit, Avira - угроз не обнаружено (сигнатуры сегодняшние), а WindowsDefender ругнулся, что это Телебот. По каким ещё признакам можно его идентифицировать, как потенциально опасный?

[Console]

Есть вот такой экземпляр DLL на серверной платформе звита:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

При проверке ESET, cureit, Avira - угроз не обнаружено (сигнатуры сегодняшние), а WindowsDefender ругнулся, что это Телебот. По каким ещё признакам можно его идентифицировать, как потенциально опасный?

Так телебот и есть дыркой для загрузки пети и мишы...
perfc.dat ищи
Я бы не рисковал, так как поимели сервера и исходный код медка... хз что там еще есть...в 1.5 гигах..
до 27.06.17 антивирусу тоже не определяли...

Сообщение отредактировал Console - Jul 5 2017, 19:34

[drone]

Не знаю была ссылочка или нет.

Не все так просто с Petya

Вывод неверный, архиневерный. Даже в капстранах первого мира госсектор переводят на опенсорс с открытыми стандартами. Нужно сертифицировать не софт, нужно сертефицировать протоколы и API, а дальше конкуренция на рынке реализаций "все решит".

[dima_21]

мне так и не понятно, каким образом оно получило права локального админа на всех компах?

и почему, с установленным обновлением оно все-равно поразило компьютеры?

[antonio2000]

мне так и не понятно, каким образом оно получило права локального админа на всех компах?

тут все запутано. есть софтина что из дампа может выковырять локального админа. вот она и юзалась. а так как админы обычно юзают одного и того же пользователя и такой же пароль вот и фигня произошла.

[senseless]

dima_21 Стесняясь обсуждения прошлого патча под свою ОС, Майкрософт активно участвует в изучении дыр Медка и последствий действия бекдоров через них пролезших. Патамушто гладиолус.

[antonio2000]

ужно сертефицировать протоколы и API, а дальше конкуренция на рынке реализаций "все решит".

так есть же все. делайте.
тут проблема что долбанутые забаганкы налоговой и изменение еженедельное в законодательстве, которые нашару конторы задалбываются делать. так же как множество отчетов xml и дебильные проверки отчетов.
так же подпись.... и центры сертификации, которые случайно "не подходили", чтобы сдать в налоговую.

Патамушто гладиолус.

тут какбы и микрософт не причем. я заразился и без самбы ))

Сообщение отредактировал Shel - Jul 6 2017, 1:06

[Lion_Killsberg]

мне так и не понятно, каким образом оно получило права локального админа на всех компах?

и почему, с установленным обновлением оно все-равно поразило компьютеры?

Заходим вот СЮДЫ и смотрим общение. Жаль нет уже доступа к страницам где сотрудники медка тупо указывали администраторам, что для их программы нужны админские права и медок нужно внести в исключения антивирусов - иначе работать не будет
Второе это присутствие в ОС виндовс у администратора прав дебагинга по умолчанию

Сообщение отредактировал Lion_Killsberg - Jul 5 2017, 22:45

[Console]

PsExec, который Петя притащил, ещё и подписан валидным сертификатом

[Aspid]

Целью вируса Petya была именно Украина - Welivesecurity
Вместе с номерами ЕДРПОУ вирус собирает параметры прокси и электронной почты, включая имена пользователей и пароли от приложения M.E.Doc.

[Console]

https://geektimes.ru/post/290779/#comment_10172205



http://www.zvit.net/archives/4460 тут кстати доступны обновления в виде .exe к медку...

Сообщение отредактировал Console - Jul 6 2017, 0:00

[dima_21]

включая имена пользователей и пароли от приложения M.E.Doc.

и что , я не понимаю, зачем оно ему, подписывать вместо буза налоговые?)))

тут все запутано. есть софтина что из дампа может выковырять локального админа. вот она и юзалась. а так как админы обычно юзают одного и того же пользователя и такой же пароль вот и фигня произошла.

Отлично, а если использовать Laps (local admin password srach) ???

[cosco]

двухфакторный доступ к админской учетке решает все проблемы

У меня сервера остались жить, доступ к админу через карту доступа iclass.

Буху не повезло.


Кстати, есть какие-то аналоги медка под линукс, или мак?

Сообщение отредактировал cosco - Jul 6 2017, 6:53

[Freelancer_mac]

Mr Robot-высказывания про общество

[alex_mz]

Привет всем.
Может кто подскажет бюджетный вариант двухфакторной авторизации админа.
Идеально если бы это было через брелки OTP.
Решения для малых компаний от 1 до 4 серверов.
Спасибо.

[Console]

Привет всем.
Может кто подскажет бюджетный вариант двухфакторной авторизации админа.
Идеально если бы это было через брелки OTP.
Решения для малых компаний от 1 до 4 серверов.
Спасибо.

Та впринципе любые токены работующие на с RSA. Есть как контактные так и без контактные..
Из отечественых точно знаю, вот эти у них железки, имеют все возможные сертификации для работы с КЗИ

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

http://www.author.kiev.ua/resheniya/sistemy-dvuhfaktornoy-autentifikacii.html

По сути вопрос бютжета и предпочтений.

[sky_walker]

Привет всем.
Может кто подскажет бюджетный вариант двухфакторной авторизации админа.
Идеально если бы это было через брелки OTP.
Решения для малых компаний от 1 до 4 серверов.
Спасибо.

https://hideez.com/ - вроде как подойти может (правда может не совсем бюджетно)

[Console]

https://hideez.com/ - вроде как подойти может (правда может не совсем бюджетно)

Hideez Key, доступ до якого можливий лише на заводі під час виготовлення пристрою, або ж використати Ваші вже існуючі ключі.

Когда двух факторка в винде, то виндовый СА, должен сам генерировать ключики, и записывать на токен.
А тут такое вроде не предусмотрено, если я правильно понял, на заводе создают один на всегда, самоподписной, +

доступ можливий лише на заводі під час виготовлення пристрою

не очень безопасно звучит)

Сообщение отредактировал Console - Jul 6 2017, 8:55

[cosco]

безопасность и бюджетно несовместимы...
Это как современный бизнес-центр с кучей важных доков и тд, а используют карты доступа Em-Marine, которые клонируются девайсом с алиэкспресса за 7$.

Смотрю события 27 и 4го так и не научили многих...